OpenSSLのX.509ポリシー制限の検証で過剰なリソース消費の問題

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月23日、OpenSSLのX.509ポリシー制限の検証における過剰なリソース消費の問題について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.1、3.0、1.1.1、1.0.2

　OpenSSLのポリシー制限が含まれているX.509証明書チェーンの検証にて、リソースが過剰に消費される問題があり、攻撃者によって細工された計算リソースを過剰に消費する証明書チェーンを処理させられることで、サービス運用妨害（DoS）攻撃を受ける可能性がある。

　ポリシー処理はデフォルトで無効になっており、コマンドラインユーティリティで「-policy」引数を渡すか、「X509_VERIFY_PARAM_set1_policies()」関数を呼び出すことで有効となる。

　開発者では2023年3月23日現在、本脆弱性の深刻度が低であるため正式リリースを提供しておらず、下記のコミットで修正されている。

commit 2017771e（3.1ユーザ向け）
commit 959c59c7（3.0ユーザ向け）
commit 879f7080（1.1.1ユーザ向け）
commit 2dcd4f1e（1.0.2プレミアムサポートカスタマ向け）

　なお、以下のリリース提供後のアップグレードが必要とのこと。

OpenSSL 3.1.1（3.1ユーザ向け）
OpenSSL 3.0.9（3.0ユーザ向け）
OpenSSL 1.1.1u（1.1.1ユーザ向け）
OpenSSL 1.0.2zh（1.0.2プレミアムサポートカスタマ向け）